Os gerenciadores de senhas têm como objetivo armazenar os dados de acesso de forma protegida e segura, dispensando assim o usuário do “trabalho de memória”. O prático ajudante também pode ultrapassar os limites do dispositivo e gerenciar dados de acesso em smartphones, desktops e laptops. Geralmente é armazenado com criptografia ponta a ponta na nuvem. As senhas também só devem ser descriptografadas na memória por um curto período de tempo. No entanto, o gerenciador de senhas da Microsoft no navegador Edge falha aqui.
Leia mais depois do anúncio
Em postagem no X, Tom Jøran Sønstebyseter Rønning chamou a atenção para o problema. Um teste simples confirma a vulnerabilidade. Com o gerenciador de senhas habilitado no Microsoft Edge, criamos uma conta com a senha “Klartext PW Test”. Para visualizar, acessar ou alterar esses dados, o Microsoft Edge requer autenticação do Windows Hello. Isso significa que os dados também parecem estar protegidos.
Para verificar, fechamos o navegador e reiniciamos o Microsoft Edge. O Edge exibe apenas sua própria página inicial. Agora você pode criar uma imagem de memória do navegador usando o gerenciador de tarefas. Cerca de 670 MB acabaram na unidade. Aqui, uma pesquisa simples com um editor hexadecimal por “texto simples” retorna todas as senhas “teste PW de texto simples” – a senha não foi usada, mas está na memória em texto simples.
Minha atitude não é segura
O tratamento de senhas na memória do processo dessa forma já se foi. De acordo com o conceito geral de segurança, as senhas só devem ser descriptografadas quando usadas e, em seguida, excluídas da memória logo em seguida. O fato de a Microsoft armazenar todas as senhas na memória, mesmo que o site que você usa nem tenha sido aberto, é um claro anacronismo. Esta é uma categoria separada de vulnerabilidade: CWE-316, “Armazenamento de texto claro de informações confidenciais na memória”. A Microsoft precisa melhorar isso logo. No entanto, Itavisen.no relata que a resposta de Rønning ao relatório de vulnerabilidade da Microsoft foi uma decisão de design consciente e deliberada. Portanto, os usuários devem encontrar outro gerenciador de senhas para mantê-los seguros.
Durante um teste do gerenciador de senhas em dezembro passado, o Federal Office for Information Security (BSI) excluiu categoricamente o gerenciador de senhas Microsoft Edge. No entanto, uma auditoria de software VPN e gerenciadores de senhas em agosto de 2024 também encontrou essas vulnerabilidades em alguns produtos.
(dmk)
